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Beschreibung 

Verfahren zur Uberwachung cles Programmlauf s in einem Micro- 
computer 

5 

Die Erfindung betrifft ein Verfahren zur Uberwachung des Pro- 
grammlaufs in einem Mikrocomputer eines elektronischen Gera- 
tes, insbesondere einer Sensorschaltung fur Kraf tf ahrzeuge, 
wobei das Programm Eingangsdaten verarbeitet und Ausgangsda- 
10 ten erzeugt. 

Bei elektronischen Geraten, die mit einem Mikrocomputer aus- 
gerustet sind, kann es durch Defekte im Mikrocomputer, insbe- 
sondere bei fehlerhaftem Programmlauf , zu Ausfallen und Fehl- 
15 funktionen kommen. Bei Sensorschaltungen fur Kraf tf ahrzeuge 
und anderen sicherheitsrelevanten Geraten konnen derartige 
Fehler zu Gefahrdungen fuhren, die mit sehr groBer Sicherheit 
vermieden werden mlissen. 

2 0 Aufgabe der vorliegenden Erfindung ist es daher, den Pro- 
grammlauf in einem Mikrocomputer moglichst vollstandig und 
sicher zu uberwachen und somit durch ein geeignetes Alarmsig- 
nal Benutzer zu informieren oder in verbundenen Systemen Ge- 
genmafinahmen einzuleiten . 

25 

Diese Aufgabe wird bei einer ersten Ausf uhrungsf orm der Er- 
findung dadurch gelost, dass zusStzlich zu dem Lauf des Pro- 
gramms eine Kopie des Programms, die in einem anderen Adres- 
senbereich als das Programm im Mikrocomputer gespeichert ist, 

30 mit den fur das Programm vorgesehenen Eingangsdaten ablauft 
und dass die Ausgangsdaten der Kopie mit denen des Programms 
verglichen werden und bei Nichtiibereinstimmung eine Fehler- 
meldung erzeugt wird. Diese Ausf uhrungsf orm berucksichtigt , 
dass bei einem an sich einwandf reien Programm ein Hardware- 

35 bedingter Fehler wahrend des Ablaufs des Programms nicht auch 
bei einem identischen Programm auf tritt . 
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Mit einer Weiterbildung kann die Kopie des Programms dadurch 
uberpruft werden, dass ein weiterer Lauf der Kopie vorgesehen 
ist, bei welchem vorgegebene Testdaten verarbeitet werden, 
dass die Ausgangsdaten des weiteren Laufs der Kopie mit in 
5 einem Speicher abgelegten Vergleichsdaten verglichen werden 
und dass bei Nichtubereinstimmung eine Fehlermeldung erzeugt 
wird. 

Um insgesamt den Lauf des Programms einschliefilich des zur 
Uberwachung dienenden Programms kontrollieren zu konnen, ist 
bei einer Weiterbildung des erf indungsgemafien Verfahrens vor- 
gesehen, dass nach dem Lauf des Programms und nach dem Lauf 
von Programmteilen, welche zur Durchfuhrung des erf indungsge- 
maBen Verfahrens dienen, jeweils ein Flag gesetzt oder gean- 
dert wird und dass eine Fehlermeldung erzeugt wird, wenn 
nicht alle Flags gesetzt oder geandert wurden. 

Eine zweite Ausf uhrungsf orm der Erfindung dient zur Uberwa- 
chung des Programmlauf s in mindestens zwei miteinander ver- 
bundenen Mikrocomputern eines elektronischen Gerates, insbe- 
sondere einer Sensorschaltung fur Kraftf ahrzeuge, und besteht 
darin, dass in einem der Mikrocomputer eine Anfrage erzeugt 
wird, welche an den anderen Mikrocomputer gesendet wird und 
dort mit vorgegebenen Eingangsdaten den Lauf eines Programms 
bewirkt, dass eine von den Ausgangsdaten abhangige Antwort an 
den einen Mikrocomputer zuruckgesendet wird und dass in dem 
einen Mikrocomputer die Anforderung und die Antwort miteinan- 
der verglichen werden. Auch hierbei kann wieder vorgesehen 
sein, dass das Prograiran eine Kopie eines die eigentliche 
Funktion des anderen Mikrocomputers ausfuhrenden Programms 
ist . 

Sowohl eine Uberwachung desjenigen Computers, in dem das ge- 
nannte Programm lauft, als auch eine Kontrolle der Uberwa- 
35 chung ist bei der zweiten Ausf uhrungsf orm der Erfindung da- 
durch moglich, dass die Antwort von Zeit zu Zeit verfalscht 
wird, was in dem anderen Mikrocomputer zunachst als Fehler 
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des einen Mikrocomputers erkannt wird, jedoch in dem einen 
Mikrocomputer erwartet und gepriift wird. 

Auch hierbei kann der Programmlauf dadurch kontrolliert wer- 
5 den, dass nach dem Lauf des Programms und nach dem Lauf von 
Programmteilen, welche zur Durchfuhrung des erf indungsgemafien 
Verfahrens dienen, jeweils ein Flag gesetzt Oder geandert 
wird und dass eine Fehlermeldung erzeugt wird, wenn nicht al- 
le Flags gesetzt oder geandert wurden, wobei wiederum die 
10 Kontrollfunktion des anderen Computers dadurch uberwacht 

wird, dass der Inhalt des Flagregisters von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst als 
Fehler des einen Mikrocomputers erkannt wird, jedoch in dem 
einen Mikrocomputer erwartet und gepriift wird. 

15 

Da der jeweils andere Computer nicht zwischen Fehlern beim 
Programmlauf und den absichtlich von Zeit zu Zeit eingebrach- 
ten Fehlern unterscheiden kann, ist bei einer Weiterbildung 
vorgesehen, dass ein Fehlerzahler in einem der Mikrocomputer 

20 Fehler, die fur den jeweils anderen Mikrocomputer festge- 
stellt wurden, zahlt und dass bei Einfugen einer falschen 
Antwort und/oder einer Verfalschung des Flagregisters der 
Zahlerstand des Fehlerzahlers in demjenigen Mikrocomputer, in 
dem die Einfiagung der falschen Antwort bzw. die Verfalschung 

25 des Inhalts des Flagregisters stattfand, nicht geandert wird. 

Die Erfindung lasst zahlreiche Ausfuhrungsf ormen zu. Zwei da- 
von sind schematisch in der Zeichnung anhand mehrerer Figuren 
dargestellt und nachfolgend beschrieben. Es zeigt : 

30 

Fig. 1: ein Blockschaltbild eines Anwendungsbeispiels fur 
das erf indungsgemafie Verfahren, 



35 



Fig. 2: 



eine Darstellung verschiedener Funktionen zur U- 
berwachung des Programmlauf s in einem Mikrocompu- 
ter, 
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Fig. 3: ein Flussdiagramm eines Programms zur Realisie- 
rung der in Fig. 2 erlauterten Funktionen und 

Fig. 4: in Form eines Blockdiagramms die gegenseitige U- 
5 berwachung zweier Mikrocomputer. 

Im Zusammenhang mit den Ausf uhrungsbeispielen wird das Pro- 
gramm auch Software— Routine genannt . 

10 Das Anwendungsbeispiel gemafi Fig. 1 stellt einen Drehrat en- 
sensor fur ein Kraf tf ahrzeug dar, mit einem Vibrationskreisel 
1, der Teil eines Sensormoduls 2 ist. Dies weist eine Reihe 
von Schaltungen zum Betrieb des Vibrationskreisels und zu der 
Auswertung der Signale des Vibrationskreisels auf, unter an- 

15 derem auch einen Mikrocomputer 3. Dieser ist uber einen SPI- 
Bus 4 mit einem weiteren Mikrocomputer 5 verbunden, der im 
folgenden auch Host genannt wird. Von diesem gelangt die 
Drehrateninf ormation uber einen CAN-Bustreiber 6 an einen 
CAN-Bus 7 zur Weiterleitung an andere Systeme im Kraft fahr- 

20 zeug. 

Da es zum Verstandnis der Erfindung nicht erforderlich ist/ 
sind der Vibrationskreisel 1 und das Sensormodul 2 nicht na- 
her erlautert. Wegen der Sicherheitsrelevanz des Drehraten- 
25 sensors ist eine Uberwachung der ordnungsgemaften Funktion der 
Mikrocomputer 3, 5, insbesondere des Programmlauf s, vorgese- 
hen . 

Bei dem in Fig. 2 dargestellten Beispiel sind diejenigen 
30 Funktionen, die der eigentlichen Funktion des Mikrocomputers 
(Primary function) dienen, als Rechtecke dargestellt . Bei 11 
werden Eingangsdaten gelesen - beispielsweise aus den in Fig. 
1 angedeuteten Schaltungen des Sensormoduls 2 - und in der zu 
uberwachenden Software-Routine bei 12 verarbeitet. Die Ergeb- 
35 nisse dieses Programmlauf s werden bei 13 ausgegeben - im Fal- 
le von Fig. 1 letztendlich auf den CAN-Bus 7. Die betroffenen 
Mikrocomputer arbeiten in der Regel mit einer Reihe von Soft- 
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ware-Routinen, die sich zu einem Programmsystem erganzen. In 
Fig. 2 ist die Uberwachung einer Routine dargestellt, die bei 
Vorhandensein von mehreren Routinen besonders wichtig ist. 
Mit dem erf indungsgemaBen Verfahren konnen jedoch auch mehre- 
5 re Routinen uberwacht werden. 

In dem Microcomputer 3, 5 (Fig. 1) ist aufier der zu uberwa- 
chenden Software-Routine in einem anderen Adressenbereich ei- 
ne Kopie der Software-Routine abgelegt - im folgenden Kopie 
genannt. Zur Uberprufung des ordnungsgemaflen Programmlauf s 
der Original-Routine wird in einem ersten Schritt ein Lauf 
der Kopie mit den gleichen Eingangsdaten bei 14 durchgef iihrt . 
Die Ausgangsdaten dieses Programmlauf s werden mit den Aus- 
gangsdaten der Original-Routine bei 15 verglichen. Im Falle 
von Unterschieden wird bei 16 ein Alarm ausgelost. 

In einem weiteren Schritt erfolgt ein Programmlauf der Kopie 
mit Testdaten 17. Die Ausgangsdaten dieses Programmlauf s wer- 
den mit gespeicherten erwarteten Ergebnissen, die in einer 
2 0 Look-up-table 18 abgelegt sind, bei 19 verglichen. Treten 

hier Unterschiede auf, wird ebenfalls bei 16 ein Alarm ausge- 
lost. 

Zur Uberwachung dessen, ob die in Fig. 2 dargestellte Uberwa- 
chung auch tatsachlich stattfindet, ist vorgesehen, dass nach 
der Ausfuhrung des Programmlauf s der Original-Routine bei 12 
und nach Ausfuhrung der Vergleiche bei 15, 19 Flags in einem 
Register 20 gesetzt werden. Bei 21 wird dann gepruft, ob alle 
Flags gesetzt sind. Ist dieses nicht der Fall, wird bei 22 
ein Alarm ausgelost. 

Fig. 3 zeigt das bereits anhand von Fig. 2 erlauterte Uberwa- 
chungsprogramm als Flussdiagramm, das beispielsweise alle 25 
ms wiederholt wird. Dabei wird in einem ersten Programm- 
schritt 31 zunachst die Original-Routine abgearbeitet , bei 32 
folgt die Kopie, bei 33 werden die Ergebnisse verglichen. Im 
Programmschritt 34 wird dann die Kopie mit den Testdaten ab- 
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gearbeitet . Danach werden bei 35 die Ergebnisse des Programm- 
laufs 34 miteinander verglichen. Bei 36 wird gepruft, ob alle 
Flags gesetzt sind f worauf bei 37 das Flagregister initiali- 
siert wird, d.h. ruckgesetzt, wenn ein Setzen der Flags, wie 
5 im Zusammenhang mit Fig. 2 erlautert, durchgefuhrt wird. Al- 
ternativ kann anstelle des Setzens des Sets ein Toggeln 
durchgefuhrt werden . 



Anhand von Fig. 4 wird die gegenseitige Uberwachung zweier 
10 Mikrocomputer 3, 5 (Fig. 1) erlautert. Die langgestreckten 
Rechtecke 41, 42 stellen Datentelegramme auf dem SPI-Bus 4 
(Fig. 1) dar mit jeweils einem I dent if izierer, mehreren Nutz- 
Datenworten und einer Prufsumme. Die ferner dargestellte 
Struktur ist auf beiden Mikrocomputern vorhanden, die sich 
15 gegenseitig uberwachen. 

Zur Uberpriifung des jeweils anderen Mikrocomputers wird in 
dem einen bei 43 eine Aufforderung (Request index) generiert, 
die uber den SPI-Bus 4 an den anderen Mikrocomputer ubertra- 

20 gen wird. Dort werden aus einer Tabelle 44 Eingangsdaten fur 
die zu uberprufende Software-Routine ausgelesen. Diese Daten 
werden in ein Programm 45 ubergeben, das im Wesentlichen die 
Telle 11 bis 15 der Darstellung gemaB Fig. 2 enthalt, d.h., 
in dieser Komponente fiihrt der andere Mikrocomputer seine 

25 primare Funktion aus und arbeitet ferner eine Kopie der Soft- 
ware-Rout ine ab . 



Die Ausgangsdaten der Software-Routine werden in einer weite- 
ren Tabelle 4 6 in eine Antwort (Response index) umgewandelt, 

30 die zu dem einen Mikrocomputer iibertragen wird (siehe Dat en- 
wort 47 im Datentelegramm 42) . Zweckmafiigerweise enthalt en 
die Aufforderung und die Antwort nur jeweils einen Index, der 
besagt, welche in der Tabelle 44 abgelegten Eingangsdaten fur 
die zu uberprufende Software-Routine verwendet werden sollen 

35 bzw. welchen Daten der Tabelle 4 6 die berechneten Ausgangsda- 
ten entsprechen. 
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Der andere Mikrocomputer erhait eine Antwort (Datenwort 48 im 
Datentelegramm 41) und vergleicht diese bei 4 9 rait der erwar- 
teten Antwort- Stimmen beide uberein, wird angenommen, dass 
der andere Mikrocomputer in dieser Hinsicht richtig arbeitet. 
5 Treten jedoch Abweichungen auf, so wird ein Fehlerzahler 50 
inkrementiert . Von Zeit zu Zeit werden in die Ausgangsdaten 
der Tabelle 4 6, also in die Antwort, Fehler eingefugt, die 
selbst bei richtigem Ablauf der Kopie 14 eine falsche Antwort 
4 7 zur Folge haben. 

10 

Derjenige Mikrocomputer , der die falsche Antwort erhalt, kann 
jedoch nicht erkennen, ob dies ein nachtraglich eingefuhrter 
Fehler oder ein Fehler durch einen falsch ausgefuhrten Pro- 
grammlauf ist . In ahnlicher Weise werden die im Zusammenhang 
15 mit Fig. 2 beschriebenen Flags bei 52 unterdruckt. Die Flags 
(in Fig. 4 als SR-Flags bezeichnet) werden bei 53 in das Da- 
tentelegramm 42 eingefugt. Sie fiihren bei dem anderen Pro- 
gramm vom Mikrocomputer im Programmteil 54 zu einer Fehler- 
meldung, wenn sie nicht alle gesetzt bzw. getoggelt sind. 

20 

Ferner wird der Zahlerstand des Fehlerzahlers 50 als weiteres 
Datenwort 55 in das Datentelegramm 42 eingefugt. Aus dem Da- 
tentelegramm 41 kann der Mikrocomputer das Datenwort 55 ent- 
nehmen und bei 5 6 uberprufen, ob der Zahlerstnad dem erwarte- 

25 ten Wert entspricht. Trifft dies nicht zu, wird ebenfalls ei- 
ne Fehlermeldung an den Fehlerzahler 50 gesendet. Die Funkti- 
on 56 erhalt Meldungen von den Funktionen 51, 52, wenn eine 
Verfalschung der jeweiligen Daten vorgenommen wurde, so dass 
dies bei dem Vergleich zwischen dem iibertragenen Zahlerstand 

30 und dem erwarteten Zahlerstand berucksichtigt wird. Damit 

wird ermoglicht, dass durch die Funktionen 51 und 52 die U- 
berwachung durch den anderen Mikrocomputer richtig durchge- 
fuhrt wird. Der Zahlerstand des Zahlers 50 wird bei 57 dar- 
aufhin gepriift, ob ein vorgegebener Schwellwert erreicht ist. 

35 Ist dieses der Fall, wird bei 58 ein Alarm ausgelost . 
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Verfahren zur Uberwachung des Programmlaufs in einem 
Mikrocomputer eines elektronischen Gerates, insbesonde- 
re einer Sensorschaltung fur Kraf tf ahrzeuge, wobei das 
Programm Eingangsdaten verarbeitet und Ausgangsdaten 
erzeugt, dadurch gekennzeichnet, dass zusatzlich zu dem 
Lauf des Programms eine Kopie des Programms, die in ei- 
nem anderen Adressenbereich als das Programm im Mikro- 
computer gespeichert ist, mit den fur das Programm vor- 
gesehenen Eingangsdaten ablauft und dass die Ausgangs- 
daten der Kopie mit denen des Programms verglichen wer- 
den und bei Nichtubereinstimmung eine Fehlermeldung er- 
zeugt wird. 



2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass 
ein weiterer Lauf der Kopie vorgesehen ist, bei welchem 
vorgegebene Testdaten verarbeitet werden, dass die Aus- 
gangsdaten des weiteren Laufs der Kopie mit in einem 

2 0 Speicher abgelegten Vergleichsdaten verglichen werden 

und dass bei Nichtubereinstimmung eine Fehlermeldung 
erzeugt wird. 

3. Verfahren nach einem der vorhergehenden Anspruche, da- 
25 durch gekennzeichnet, dass nach dem Lauf des Programms 

und nach dem Lauf von Programmteilen, welche zur Durch- 
fiihrung des erf indungsgemafien Verfahrens dienen, je- 
weils ein Flag gesetzt oder geandert wird und dass eine 
Fehlermeldung erzeugt wird, wenn nicht alle Flags ge- 
30 setzt Oder geandert wurden. 

4 . Verfahren zur Uberwachung des Programmlaufs in mindes- 
tens zwei miteinander verbundenen Mikrocomputern eines 
elektronischen Cerates, insbesondere einer Sensorschal- 

35 tung fur Kraf tf ahrzeuge, dadurch gekennzeichnet, dass 

in einem der Mikrocomputer eine Anfrage erzeugt wird, 
welche an den anderen Mikrocomputer gesendet wird und 
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dort mit vorgegebenen Eingangsdaten den Lauf eines Pro- 
gramms bewirkt, dass eine von den Ausgangsdaten abhan- 
gige Antwort an den einen Microcomputer zuriickgesendet 
wird und dass in dem einen Mikrocomputer die Anforde- 
5 rung und die Antwort miteinander verglichen werden. 

5. Verfahren nach Anspruch 4, dadurch gekennzeichnet , dass 
das Programm eine Kopie eines die eigentliche FunJction 
des anderen Mikrocomputers ausfuhrenden Programms ist. 

10 

6. Verfahren nach einem der Anspruche 4 oder 5, dadurch 
gekennzeichnet, dass die Antwort von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst 
als Fehler des einen Mikrocomputers erkannt wird, je- 

!5 doch in dem einen Mikrocomputer erwartet und gepruft 

wird. 

7. Verfahren nach einem der Anspruche 4 bis 6, dadurch ge- 
kennzeichnet , dass nach dem Lauf des Programms und nach 

20 dem Lauf von Progr arrant eilen, welche zur Durchfuhrung 

des erf indungsgema&en Verfahrens dienen, jeweils ein 
Flag gesetzt oder geandert wird und dass eine Fehler- 
meldung erzeugt wird, wenn nicht alle Flags gesetzt o- 
der geandert wurden. 



25 



30 



Verfahren nach Anspruch 1, dadurch gekennzeichnet , dass 
der Inhalt des Flagregisters von Zeit zu Zeit ver- 
falscht wird, was in dem anderen Mikrocomputer zunachst 
als Fehler des einen Mikrocomputers erkannt wird, je- 
doch in dem einen Mikrocomputer erwartet und gepruft 
wird. 



9. Verfahren nach einem der Anspruche 4 bis 8, dadurch ge- 
kennzeichnet, dass ein Fehlerzahler in einem der Mikro- 
35 computer Fehler, die fur den jeweils anderen Mikrocom- 

puter festgestellt wurden, zahlt und dass bei Einfugen 
einer falschen Antwort und/oder einer Verfalschung des 
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Flagregisters der Zahlerstand des Fehlerzahlers in dem- 

jenigen Microcomputer , in dem die Einfugung der fal- 

schen Antwort bzw. die Verfalschung des Inhalts des 
Flagregisters stattfand, nicht geandert wird. 
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